Migración de aplicaciones mainframe a Oracle Cloud Infrastructure (OCI)
Las computadoras mainframe siguen siendo parte de la infraestructura informática principal para algunas de las organizaciones más grandes de todo el mundo.
Las compañías comenzaron a utilizar mainframes para ejecutar aplicaciones de procesamiento masivo de datos esenciales, como la tabulación del censo, la planificación de recursos empresariales, las estadísticas del sector y del consumidor, y el procesamiento de transacciones a gran escala. Las organizaciones, desde la banca, hasta la investigación científica y el desarrollo de vacunas, utilizan todos los mainframes. Aunque los mainframes ofrecen una gran fiabilidad y disponibilidad, también hay algunas limitaciones. Por ejemplo, es muy difícil mantener las computadoras mainframe actualizadas con los últimos parches de seguridad, y seguir el ritmo de las tecnologías modernas y las frecuencias de despliegue necesarias para ejecutar nuevas generaciones de aplicaciones.
Oracle Cloud Infrastructure (OCI) puede ayudarle a mover sus aplicaciones mainframe a la nube y a descubrir las ventajas de la computación en la nube, como la ampliación y la gestión simplificadas de la infraestructura, la aplicación automática de parches de seguridad y los enfoques automatizados para desplegar y actualizar las aplicaciones mainframe de forma ágil. OCI proporciona las herramientas y los recursos necesarios para migrar sus aplicaciones mainframe a la nube y volver a plataforma o a factorizarlas según sea necesario para las necesidades de su negocio.
Arquitectura
Migre sus aplicaciones mainframe a Oracle Cloud Infrastructure (OCI) mediante arquitecturas de alta disponibilidad (HA) y recuperación ante desastres (DR).
Ambas arquitecturas proporcionan las herramientas y los recursos necesarios para migrar las aplicaciones mainframe a la nube para que los usuarios de cliente y administrador puedan utilizar la aplicación mainframe con fines empresariales, administrativos y de operaciones.
En el siguiente diagrama se ilustra la arquitectura de alta disponibilidad (HA):
La arquitectura de alta disponibilidad despliega la aplicación en varios dominios de errores de la misma región. Esto garantiza que la aplicación mainframe siempre esté disponible aunque uno de los dominios de errores no esté disponible por algún motivo. Las organizaciones pueden desplegar una instancia en espera en el segundo dominio de disponibilidad de la misma región para aumentar la resiliencia.
El diagrama de arquitectura ilustra varios flujos de acceso de usuario. Los usuarios de negocio acceden a la aplicación mediante puntos finales expuestos a través del gateway de API de OCI. Estos puntos finales están protegidos por Oracle Cloud Infrastructure Web Application Firewall, lo que garantiza que la seguridad de front-end se aplique a la aplicación mainframe por defecto. La solicitud de usuario se reenvía al equilibrador de carga, que reenvía la solicitud a la aplicación de varios niveles. Cada uno de los tres niveles de la aplicación se aloja en una subred diferente para asegurarse de que el puerto de seguridad correcto esté abierto según lo requiera la aplicación. Los datos almacenados en las bases de datos se extraen de una subred independiente para garantizar una seguridad adecuada.
Los usuarios de administración, responsables de utilizar la aplicación mainframe en OCI, acceden a los servidores de aplicaciones mediante shell seguro (SSH) y red privada virtual (VPN) de sitio a sitio o Oracle Cloud Infrastructure FastConnect. Esto crea un túnel seguro que conecta el equipo local del cliente (CPE) en el centro de datos del cliente con el gateway de enrutamiento dinámico (DRG) en OCI. Mediante esta ruta, los administradores acceden a las instancias informáticas de OCI desde las máquinas del centro de datos. Este acceso es necesario para asegurarse de que todas las tareas de operaciones, como la aplicación de parches, la actualización de aplicaciones, las actualizaciones de seguridad del sistema operativo y otras tareas, se realizan de forma sencilla y puntual.
OCI Automated Refactoring ayuda a convertir la pila completa de aplicaciones heredadas y su capa de datos en una aplicación moderna basada en Java, al tiempo que conserva la equivalencia funcional. ZFS de Oracle y Oracle Cloud Infrastructure Block Volumes proporcionan almacenamiento, si es necesario, y se conectan con sistemas de almacenamiento locales mediante las redes adecuadas. Todo el código se migra a Java mediante la conversión y evaluación automatizadas. A continuación, el código se aloja en un cluster de instancias informáticas de OCI basado en arquitecturas de máquina virtual (VM) o hardware dedicado (BM).
Oracle Cloud Infrastructure DevOps ayuda a garantizar que todos los componentes se desplieguen de forma ágil. Todos los componentes se despliegan mediante Terraform y se mantienen mediante Ansible. Esto muestra cómo puede aprovechar la automatización en OCI y seguir el enfoque de la infraestructura como código (IaC) para hacer que la aplicación mainframe sea más ágil y fácil de mantener.
El siguiente diagrama ilustra la arquitectura de recuperación ante desastres (DR):
Descripción de la ilustración mainframe-app-multiregion.png
mainframe-app-multiregion-oracle.zip
La arquitectura de recuperación ante desastres despliega la aplicación en varias regiones de OCI. Esto garantiza que la aplicación mainframe esté disponible si una de las regiones deja de estar disponible por algún motivo, como un desastre natural. Si lo desea, colocar recursos en varios dominios de errores ayuda a garantizar que la arquitectura también sea segura en caso de que se produzca un fallo de hardware a nivel de rack en el centro de datos en la nube, y que las aplicaciones mainframe se puedan ejecutar continuamente durante muchos años sin tiempo de inactividad.
La arquitectura tiene los siguientes componentes:
- arrendamiento
Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al registrarse en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un solo arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una sola suscripción, y una única suscripción suele tener un solo arrendamiento.
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y las grandes distancias pueden separarlas (entre países e incluso continentes).
- Compartimento
Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.
- Dominio de disponibilidad
Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es improbable que un fallo en un dominio de disponibilidad afecte a los otros dominios de la región.
- Dominio de errores
Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con energía y hardware independientes. Al distribuir recursos entre varios dominios de errores, sus aplicaciones pueden tolerar fallos en el servidor físico, el mantenimiento del sistema y los fallos de energía dentro de un dominio de errores.
- Red virtual en la nube (VCN) y subredes
Una VCN es una red definida por software y personalizable que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan un control completo de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Tabla de ruta
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de una VCN, normalmente a través de gateways.
- Lista de Seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.
- VPN de sitio a sitio
La VPN de sitio a sitio proporciona conectividad VPN IPSec entre la red local y las redes virtuales en Oracle Cloud Infrastructure. El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega.
- FastConnect
Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión dedicada y privada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de mayor ancho de banda y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.
- Gateway de Internet
El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.
- Gateway de enrutamiento dinámico (DRG)
El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre las redes virtuales de la misma región, entre una VCN y una red fuera de la región, como una VCN de otra región de Oracle Cloud Infrastructure, una red local o una red de otro proveedor en la nube.
- Gateway de servicio
El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no Internet.
- Gateway de traducción de direcciones de red (NAT)
Un gateway de NAT permite a los recursos privados de una VCN acceder a los hosts de Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.
- firewall de aplicaciones web (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio compatible con el sector de tarjetas de pago (PCI), basado en la región y de aplicación de perímetro que se asocia a un punto de aplicación, como un equilibrador de carga o un nombre de dominio de aplicación web. WAF protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas las aplicaciones de clientes.
- Recursos informáticos
El servicio Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos de CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desconectar volúmenes y terminarla cuando ya no lo necesite.
- Equilibrador de carga
El servicio Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada del tráfico desde un único punto de entrada a varios servidores en el backend.
- Object Storage
El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin problemas sin experimentar ninguna degradación del rendimiento ni de la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento de acceso rápido al que debe acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivo para el almacenamiento en frío que conserva durante largos períodos de tiempo y a los que rara vez accede.
- Notificaciones
El servicio Oracle Cloud Infrastructure Notifications transmite mensajes a componentes distribuidos a través de un patrón de publicación y suscripción, lo que proporciona mensajes seguros, altamente fiables, de baja latencia y duraderos para aplicaciones alojadas en Oracle Cloud Infrastructure.
- Funciones
Oracle Cloud Infrastructure Functions es una plataforma de funciones como servicio (FaaS) totalmente gestionada, multicliente, altamente escalable y bajo demanda. Se basa en el motor de código abierto de Fn Project. Las funciones le permiten desplegar el código y o bien llamarlo directamente o dispararlo en respuesta a eventos. Oracle Functions utiliza contenedores de Docker alojados en Oracle Cloud Infrastructure Registry.
- RegistroLogging es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:
- Logs de auditoría: logs relacionados con eventos emitidos por el servicio Audit.
- Logs de servicios: logs emitidos por servicios individuales como API Gateway, Events, Functions, Load Balancing, Object Storage y logs de flujo de VCN.
- Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
- Servicio de base de datos de Exadata
Oracle Exadata Database Service le permite aprovechar la potencia de Exadata en la nube. Puede aprovisionar sistemas X8M y X9M flexibles que le permitan agregar servidores de recursos informáticos y servidores de almacenamiento de base de datos al sistema a medida que aumenten sus necesidades. Los sistemas X8M y X9M ofrecen una red RDMA sobre Ethernet convergente (RoCE) para módulos de memoria persistente (PMEM) de gran ancho de banda y baja latencia, así como software de Exadata inteligente. Puede aprovisionar sistemas X8M y X9M mediante una unidad equivalente a un sistema X8 y X9M de cuarto de rack y, a continuación, agregar servidores de base de datos y almacenamiento en cualquier momento después del aprovisionamiento.
Recomendaciones
Sus requisitos pueden ser diferentes de la arquitectura descrita aquí.
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de dirección IP privada estándar.
Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor de nube) a la que desea configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.
Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.
- Cloud Guard
Clone y personalice las recetas por defecto que proporciona Oracle para crear recetas personalizadas de detector y responsable de respuesta. Estas recetas le permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar bloques de almacenamiento de objetos con visibilidad definida como públicos.
Aplique Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa que supone el mantenimiento de varias configuraciones.
También puede utilizar la función Lista gestionada para aplicar determinadas configuraciones a los detectores.
- Recuperación de Fallos (DR)
Se recomienda una instancia de DR en espera en una región de OCI diferente para aplicaciones empresariales. La estrategia de DR debe ser coherente en los 3 niveles para cumplir los requisitos de SLA y durabilidad de datos. Oracle Exadata Database Service on Dedicated Infrastructure de DR se sincroniza con la producción mediante Oracle Data Guard. Oracle Exadata Database Service on Dedicated Infrastructure en espera es una copia transaccionalmente consistente de la base de datos principal. Oracle Data Guard sincroniza automáticamente las bases de datos mediante la transmisión y la aplicación de datos redo desde la base de datos principal a la base de datos en espera. En el caso de un desastre en la región principal, Oracle Data Guard realiza automáticamente un failover a la base de datos en espera en la región secundaria. Los equilibradores de carga front-end se despliegan en modo de espera para los equilibradores de carga de red o con alta disponibilidad mediante Oracle Cloud Infrastructure Load Balancing.
Consideraciones
Al implantar esta arquitectura de referencia, tenga en cuenta las siguientes opciones.
- Rendimiento
Oracle Cloud Infrastructure Compute, Oracle Exadata Database Service y otros servicios importantes son altamente escalables. Considere ajustar el número de recursos informáticos y de almacenamiento en función del tamaño y los requisitos de la aplicación mainframe.
- Seguridad
Utilice políticas para restringir quién puede acceder a los recursos de Oracle Cloud Infrastructure (OCI). Para Oracle Cloud Infrastructure Object Storage, el cifrado está activado por defecto y no se puede desactivar. Todo el acceso a las funciones desplegadas en Oracle Cloud Infrastructure Functions se controla mediante Oracle Cloud Infrastructure Identity and Access Management (IAM), que permite asignar privilegios de gestión de funciones y de llamada a funciones a usuarios y grupos de usuarios específicos. Se recomienda almacenar secretos y datos confidenciales, como claves de API y tokens de autenticación que se utilizan para la autorización con servicios OCI, en Oracle Cloud Infrastructure Vault.
- Disponibilidad
Oracle garantiza una alta disponibilidad de Oracle Cloud Infrastructure Compute, Oracle Exadata Database Service y otros servicios en la nube y totalmente gestionados. Para las cargas de trabajo desplegadas en un solo dominio de disponibilidad, puede garantizar la resiliencia mediante la distribución de los recursos en los dominios de errores, como se muestra en esta arquitectura. Si tiene previsto desplegar la carga de trabajo en una región que tenga más de un dominio de disponibilidad, puede distribuir los recursos entre varios dominios de disponibilidad.
- Escalabilidad
Puede ampliar los servidores de aplicaciones verticalmente cambiando la unidad de las instancias informáticas. Una unidad con un mayor recuento de núcleos proporciona más memoria y ancho de banda de red. Si necesita más almacenamiento, aumente el tamaño de los volúmenes en bloque asociados al servidor de aplicaciones. Puede escalar verticalmente las bases de datos activando más núcleos para Oracle Exadata Database Service. Puede agregar OCPU en múltiplos de dos para un cuarto de rack. Las bases de datos permanecen disponibles durante una operación de ampliación. Si la carga de trabajo supera el almacenamiento y las CPU disponibles, puede migrar a un rack más grande.